2022-02-15随着Fancy Lazarus 组织的回归，检测到新的 DDoS 勒索攻击

随着Fancy Lazarus 组织的回归，检测到新的 DDoS 勒索攻击

Fancy Lazarus 的 DDoS 攻击方法的更改

研究人员说，这些变化表明该组织坚定地努力发展他们的活动。这些变化是赎金定价——从 10 个比特币降低到 2 个比特币的起始价格（很可能是为了识别比特币的波动价值）——以及发送给收件人的电子邮件中使用的措辞。

“除了电子邮件正文为纯文本、HTML 或 JPG 图像附件外，共有三种电子邮件变体发送给相同的收件人，传达相同的信息。这很可能是为了逃避检测，”研究人员写道。以前，发件人有时会包括目标公司的最高级别人员，例如首席执行官的姓名。研究人员说，在最新的活动中，使用了随机的名字、姓氏格式，名字看起来是虚构的。

“有趣的是，该小组仍在回过头来调整原始电子邮件，这可能表明其有效性。然而，从 2020 年 8 月到现在，他们在电子邮件中尝试了完全不同的文本，”研究人员补充说。

Fancy Lazarus 如何构建 DDoS 攻击

这些电子邮件以宣布该组织现在使用的名称开头，并承认受害组织已成为特定目标。该电子邮件敦促目标执行谷歌搜索，以证明该组织“以前的工作”和最近备受瞩目的受害者，如新西兰证券交易所。“你不想像他们一样，是吗？” 电子邮件询问。

然后，电子邮件详细概述了攻击发生的过程，并指出收件人的网络将在7 天内受到DDoS 攻击，只有在规定的截止日期前支付2 比特币的费用才能避免这种攻击。为了证明他们的严重性，攻击者声称他们将对“少数随机 IPS”进行小规模攻击，持续大约两个小时。“这不会是一次严重的攻击，也不会对您造成任何损害，”电子邮件继续说道。

当谈到全面攻击时，该组织声称由于攻击的力量，没有应对措施，他们表示攻击的峰值将超过2 Tbps。“这意味着您的网站和其他连接的服务将无法供所有人使用，”电子邮件中写道。“如果你不付款，攻击将开始，停止费用将增加到 4 个比特币，并且在没有付款的截止日期过后每天增加 1 个比特币。”

勒索DDoS 攻击的增长

Proofpoint 威胁研究和检测高级主管 Sherrod DeGrippo 在接受 CSO 采访时解释说，虽然勒索 DDoS 攻击不是最近的发展，但加密货币的日益普及正在显着推动勒索 DDoS 攻击的激增。

“最近，从去年开始，勒索 DDoS 活动有所增加，该活动来自该组织。自 2020 年 8 月我们首次开始跟踪此活动以来，Proofpoint 研究人员已经看到来自多个不同且不相关的垂直行业的大约 180 名客户发送了这些勒索电子邮件。在第一个月就看到了其中的 59 个。”

DeGrippo 补充说，勒索 DDoS 攻击也变得越来越有效，特别是针对缺乏 Web 应用程序防火墙或上游服务提供商的组织，这些组织可以有效地将 DDoS 流量从合法流量中过滤出来。“威胁参与者一直在寻找最有效的手段来获得他们想要的东西，在这种情况下是一种经济回报，”她补充道。“DDoS 攻击已经变得越来越容易发起，并且比勒索软件攻击所需的工作量要少得多。此外，通过进行此类攻击，威胁行为者绕过了自动安全保护措施，这些保护措施会标记和阻止勒索软件。”

关于该组织声称他们的攻击将超过2 Tbps 的合法性，DeGrippo 承认，如果没有对攻击的全面了解，很难确定验证。然而，“根据 FBI 的报告和信息共享小组，据报道，一些攻击达到了大约 2 Tbps，”她说。然而，还值得注意的是，联邦调查局的报告表明，许多已超过受威胁期限的受影响公司要么没有看到任何额外的活动，要么活动已成功缓解。

DeGrippo 总结说，无论如何，组织应该通过适当的缓解措施为此类攻击做好准备。“这包括使用 DoS 保护服务和准备好灾难恢复计划。良好的响应取决于良好的技术和合作伙伴关系，以帮助在受到攻击时过滤 DDoS 流量。组织必须在这些情况发生之前制定计划以应对这些情况。”